トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

V10 悪意のあるコードの検証要件 のバックアップ(No.1)

セキュアコーディングガイド?

管理目標

コードが以下の上位レベルの要件を満たしていることを確認します。

  • 悪意のある行為はアプリケーションの他の部分に影響を与えないようセキュアかつ適切に処理されます。
  • 時限爆弾や他の時間ベースの攻撃を持ちません。
  • 悪意のある宛先や認証されていない宛先に "Phone Home" していません。
  • バックドア、イースターエッグ、サラミ攻撃、ルートキット、または攻撃者がコントロールできる不正なコードを持ちません。 悪意のあるコードを見つけることは否定命題の証明であり、完全に確認することは不可能です。コードに固有の悪意のあるコードや不要な機能が含まれていないことを確認するために、最善の努力を払うべきです。

V10.1 コード完全性管理

悪意のあるコードに対する最善の防御は「信頼するが検証する」です。不正なコードや悪意のあるコードをコードに取り込むことは多くの法的管轄で犯罪行為となります。方針と手続きにより悪意のあるコードに関する制裁措置が明確になるでしょう。
開発リーダーは定期的にコードチェックインを確認すべきです。特に時刻、I/O、ネットワーク機能にアクセスする可能性を確認します。